2023城市信息模型(CIM)平台安全技术要求

城市信息模型平台安全技术要求范围本文件规定了城市信息模型（CIM）平台安全的总体保障要求、管理保障要求、技术保障要求、运营保障要求、基础支撑要求等技术要求。本文件适用于城市信息模型（CIM）平台安全体系建设和运营。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T20271信息安全技术信息系统通用安全技术要求GM/T0054信息系统密码应用基本要求术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。城市信息模型cityinformationmodeling对城市物质空间对象的数字化表达的多重集合。城市信息模型平台platformofcityinformationmodeling基于城市信息模型，通过计算机信息技术等手段，建立表达和管理城市的信息平台，并能根据平台使用者的不同需求提供对应的数据和应用服务。网络安全cybersecurity通过采取必要措施，防范网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。基础设施层infrastructurelayer包含CIM平台的计算、存储、接入、容灾、传输等共同构建基础的平台中心资源。CIM平台基础设施层的安全防护对象主要有服务器、存储设备、网络、各类虚拟化管理和应用软件等。网络安全等级保护classifiedprotectionofcybersecurity对网络实施分等级保护、分等级监管，对使用的网络安全产品按等级管理，对网络中发生的安全事件分等级响应、处置。安全域securitydomains同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。缩略语下列缩略语适用于本文件。BIM——建筑信息模型（BuildingInformationModeling）GIS——地理信息系统（GeographicInformationSystem）IoT——物联网（InternetofThings）CIM——城市信息模型（CityInformationModeling）基本规定CIM平台安全体系框架5.1.1CIM平台定位于城市智慧化运营管理的基础平台，宜由城市人民政府主导建设，负责全面协调和统筹管理，并明确责任部门推进CIM平台的规划建设、运行管理、更新维护工作。5.1.2CIM平台安全体系框架建设应包括安全总体保障、安全技术保障、管理保障、建设运营保障和安全基础支撑五个部分（见图1）。图1CIM平台安全体系框架5.1.3安全总体保障要素包括国家法律法规、政策文件、标准规范。应通过CIM平台安全总体保障来指导和约束CIM平台的安全管理、技术与建设运营活动；5.1.4安全管理保障措施包括决策规划、组织管理、授权审批、协调合作和监督检查等方面；5.1.5安全技术保障以建立纵深防御体系为目标，应围绕CIM平台，从数据、使能、应用等三个层次采用多种安全防御手段实现对系统的防护、检测、响应和恢复，以应对CIM平台安全技术风险；5.1.6安全建设运营保障是指对CIM平台数据和业务安全工程建设运行状态的监测与维护。CIM平台安全建设运营保障要素宜包含建设实施、应急演练、监测预警、应急处置和灾难恢复；5.1.7安全基础支撑宜包括CIM平台的安全技术支撑和CIM平台安全服务支撑。安全技术支撑包括密码管理、身份管理和时间同步等。安全服务支撑包括产品和服务的资质认证、安全评估、检测以及咨询服务支撑等。CIM平台安全域CIM平台安全域可划分为安全计算域、安全用户域和安全网络域，并应符合下列规定:应根据各类数据信息在CIM平台中的分布情况，划分并确定安全计算域及其安全等级；应按照对安全计算域的访问情况，确定安全用户域及其安全等级；按照连接相同安全等级的安全计算域和/或安全用户域的网络应具有同样安全等级的原则，确定网络安全域及其安全等级。一个安全域可划分为若干安全子域，安全子域可继续依次细化为次级安全域、三级安全域。相同的安全域应共享相同的安全策略。安全域划分的原则和方法可参照《信息安全技术信息系统通用安全技术要求》GB/T20271-2006附录B.1.4.1安全域和安全保护等级划分的原则。等级保护定级CIM平台等级保护定级应根据业务信息与系统服务受到破坏后对侵害客体的侵害程度判定等级。安全总体保障要求法律法规6.1.1CIM平台的规划、设计、建设、运营、维护、应用等全生命周期应遵守《中华人民共和国网络安全法》等法律法规。6.1.2CIM平台各个门类数据的收集、存储、加工、使用、提供、交易和公开等数据活动应符合相关法律法规要求。标准规范CIM平台的建设和使用及CIM数据采集、处理、传输、存储、交换和共享应符合有关标准规范的安全要求。政策文件政府主管部门应出台相关政策文件，组织和指导开展CIM平台安全标准体系规划，研究、制定并实施具有区域特征、行业特性的CIM平台安全标准。安全管理保障要求相关方CIM平台建设运营方或政府主管部门应制定CIM平台安全管理保障体系，对CIM平台相关方的安全责任进行界定，并对其活动进行约束、规范及监督。体系要素安全管理体系宜包括决策规划、组织管理、授权与审批制度、部门合作、安全审核和检查制度。决策规划7.3.1决策规划应从全局高度为CIM平台制定安全管理目标和统一的安全管理策略，选择和调整具体的安全管理措施，形成统一的安全管理体系。7.3.2决策规划宜包括但不限于以下方面：制定网络安全工作的总体方针和安全策略；形成全面的安全管理制度体系；对各类安全管理活动内容建立安全管理制度；制定安全事件报告和处置管理制度；对重大安全事件采用分级处理程序和报告程序。组织管理7.4.1应明确CIM平台安全管理的领导机构和责任部门，建立CIM平台安全管理岗位和CIM平台安全管理人员管理制度，落实安全责任制。7.4.2组织管理宜包括但不限于以下方面：成立指导网络安全工作的委员会或领导小组；设立网络安全管理工作的职能部门；设置系统管理员、审计管理员和安全管理员等岗位；配备一定数量的系统管理员、审计管理员和安全管理员。授权审批7.5.1应对CIM平台生命周期内的各个环节与活动的实施以文件形式明确授权与审批制度。7.5.2授权审批宜包括但不限于以下方面：根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序；对重要活动建立逐级审批制度；定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。协调合作7.6.1各业务部门应共同参与和密切配合，与外联单位通畅协调与合作，及时获取网络安全最新动态，在网络安全事件发生时快速采取有效措施。7.6.2部门合作机制包括但不限于以下方面：加强各类管理人员、组织内部机构和网络安全管理部门之间的协调与合作，定期召开协调会议，协作处理网络安全问题；加强与网络安全职能部门、各类供应商、业界专家及安全组织的协调与合作；建立外联单位联系列表，外联单位包括公安机关、兄弟单位、供应商等。监督检查7.7.1应制定安全审核和检查制度，定期监督检查。7.7.2监督检查宜包括但不限于以下方面：定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；制定安全检查清单列表，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。安全技术保障要求数据安全保护一般规定数据安全保护应至少包括以下：应使用安全可靠的数据库及数据存储设备；对CIM平台中的数据安全分级，并实施分级保护和脱敏访问；常用数据脱敏技术可参见附录A。涉密数据划分CIM模型涉密数据划分应符合相关法律法规或标准规范要求，存储、处理涉及国家秘密的数据应遵守有关法律法规及标准规范的规定。涉密数据处理涉密数据脱密处理应明确数据脱密场景，包括数据治理、应用程序调用、运维操作处理等，制定各场景的数据脱密规范、脱密方法和使用限制。使用满足数据治理等应用场景需求的脱敏技术和工具，实现数据根据分级分类快速脱密。数据使用制度应制定数据使用制度和内部责任制度，保证分析处理和使用数据不超出声明的数据使用目的和范围。数据安全风险识别应采用技术手段进行数据安全风险识别，对数据滥用的行为进行有效识别、监控和预警，应通过数字水印或采集数据交换、共享及发布等过程实现数据安全溯源机制，确保出现数据泄露时可以有效进行溯源。数据安全保护措施应采取有效数据保护措施，并满足以下要求：应支持不同数据类型、容量和用户的逻辑存储管理；应支持数据逻辑存储隔离授权操作；应建立数据逻辑分层分级保护，支持存储授权管理和操作；应对访问用户进行身份鉴别和权限控制，并对用户权限变更进行审核记录；应支持安全管理员操作用户标识与鉴别策略、数据访问控制策略，包括访问控制时效管理和验证，以及接入数据存储的合法性和安全性认证；应严格限制批量修改、拷贝、下载等重要操作权限；应采用信息流控制机制，限制获得访问权的用户将数据传递给非授权的用户；应对访问通道进行授权许可和访问方式限制；应建立敏感数据防护区域或敏感数据集群管控访问方式；应建立数据泄露的发现、阻断等安全机制；应建立数据存储冗余策略和管理制度，建立数据备份及恢复操作规范；应提供适当的加密算法，对敏感字段予以加密后进行存储。数据共享数据共享应建立信息共享数据安全评估机制，从共享目的合理性、共享数据的范围和合规性、共享方式的安全性、共享后管理责任和约束措施等方面进行评估。应建立统一的数据共享在线审核审批机制和系统，制定和落实数据共享审计策略和审计日志管理规范，为数据共享安全事件的处置、应急响应和事后调查提供帮助，并应满足以下要求：应明确数据提供者与共享使用者的数据安全责任和安全防护能力；应明确数据共享涉及机构或部门相关用户的职责和权限，保证数据共享安全策略有效性；应审核共享数据应用场景，确保没有超出数据服务提供者的数据所有权和授权使用范围；应采用个人信息去标识、数据加密、安全通道等措施，保护数据共享过程中的个人信息﹑重要数据等敏感信息；应对数据接收方在共享数据过程的安全防护能力进行评估。应定期审查公开发布的数据中是否含有非公开信息，采取必要措施建立数据公开事件应急处理流程；应建立统一数据发布系统，实现公开数据登记、用户注册等发布数据和发布组件的验证机制；应明确数据接口安全要求和安全控制策略，明确规定使用数据接口的安全限制和安全控制措施；应具备对接口不安全输入参数进行限制或过滤能力，为接口提供异常处理能力；应具备对数据共享流通过程存证机制，对数据共享前安全评估过程、敏感数据加密过程、数据流通过程、共享后数据使用情况等全流程存证，满足安全审计需要。数据传输数据传输应满足以下要求：应采用符合GM/T0054有关密码算法的规定，保证通信过程中数据的保密性和完整性；应具备监控数据传输过程的能力，发现问题时能及时告警并进行阻断；应定期检查或评估数据传输的安全性和可靠性。数据销毁数据销毁应满足以下要求：应依照数据分类分级建立数据销毁策略和管理制度，明确数据销毁的场景、销毁对象、销毁方式和销毁要求；应建立规范的数据销毁流程和审批机制，设置相关监督角色，监督操作过程，并对审批和销毁过程进行记录控制；应明确已共享或者已被其他用户使用的数据销毁管控措施；应配置必要的数据销毁技术手段，确保以不可逆方式销毁敏感数据及其副本内容。数据备份和恢复数据备份和恢复应满足以下要求：应提供重要数据的本地数据备份与恢复功能，并提供任意时间点数据回溯和零丢失功能；应提供重要数据的快速恢复、应急使用的功能应提供备份数据的快速查验功能，能快速查验备份数据的完整性、一致性、可用性；应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；应明确数据备份与恢复的操作规程，明确定义数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等；应使用数据备份与恢复的统一技术工具，保证相关工作的自动执行；应定时进行恢复测试，根据业务需求配置异地备份策略；平台受到破坏后根据安全日志确认时间节点，查找最接近的备份文件进行备份恢复，保证系统正常运行。系统安全保护身份鉴别身份鉴别应满足以下要求：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。访问控制访问控制应在系统中实施访问控制，用户仅根据自己的权限大小来访问系统资源，不得越权访问。并应满足以下要求：应对登录的用户分配账户和权限；应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。安全审计应对系统进行安全审计，保持对系统的运行情况及用户行为的跟踪，以便事后追踪分析。并应满足以下要求：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断。入侵检测入侵防范应在边界处入侵检测的基础上，对系统进行入侵检测，补充检测出现在“授权”的数据流或其它遗漏的数据流中的入侵行为。入侵检测应满足以下要求：应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。恶意代码防范恶意代码防范应在系统层面进行恶意代码防范，结合边界处恶意代码防范进行双重防范。为防止各种移动存储设备接入系统导致感染病毒，从而通过网络内部感染其它系统。恶意代码防范应满足以下要求：应严格控制各种外来介质的使用，防止恶意代码通过介质传播；应在所有恶意代码可能入侵的网络连接部位设置防护网关，拦截并清除企图进入系统的恶意代码；应设置恶意代码防护管理中心，通过对全系统的服务器、工作站和客户机，进行恶意代码防护的统一管理，及时发现和清除进入系统内部的恶意代码；应将恶意代码防护与网络管理相结合，在网络管理所涉及的重要部位设置恶意代码防护软件，在所有恶意代码能够进入的地方都采取相应的防范措施，防止恶意代码侵袭；宜采用实时扫描、完整性保护和完整性检验等不同层次的防护技术，将恶意代码检测、多层数据保护和集中式管理功能集成起来，提供全面的恶意代码防护功能，检测、发现和消除恶意代码，阻止恶意代码的扩散和传播。边界安全保护边界防护边界防护应满足以下要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自联到内部网络的行为进行检查或限制；应能够对内部用户非授权联到外部网络的行为进行检查或限制；应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络；应在检测到端口异常流量传输、存在非授权设备私自联到内部网络、内部用户非授权联到外部网络、未通过受控边界接入的无线网络时能够及时阻断并报警；访问控制访问控制应满足以下要求：应在网络边界或区域之间根据访问控制策略设置访问控制规则，删除多余或无效的访问控制规则，优化访问控制列表，并对源地址、目的地址、源端口、目的端口和协议等进行检查，根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；应提供自主访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；应将自主访问控制的范围覆盖到与信息直接相关的主体、客体及它们之间的操作；应提供对其自身运行状态的实时监测，对安全管理平台服务水平降低到预先规定的最小值进行检测和报警；应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。应根据CIM平台的业务需求配置访问控制策略，合理优化访问控制策略的逻辑关系，并保证最后一条访问控制策略为禁止所有网络通信；应每日为访问控制策略进行备份，保证能够进行备份恢复；应在检测到端口异常流量传输时能够及时阻断并报警，由安全管理员判断访问控制策略是否失效并采取恢复措施。入侵防范入侵防范应满足以下要求：应在平台边界及关键网络节点处检测、防止或限制从外部发起的网络攻击行；应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析，应具有实时获取受保护网段内的数据包的能力；应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等，并能够及时防止或限制；应监视整个网络或者某一种特定协议、地址、端口的报文流量和字节流量，当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警；应维护入侵防护机制的升级和更新。恶意代码防范恶意代码防范应满足以下要求：应在区域边界及关键网络节点处对恶意代码和垃圾邮件进行检测和清除，并维护恶意代码防护机制、垃圾邮件防护机制的升级和更新；应具备对一种或多种编程语言检测源代码缺陷的能力，具有对源代码编译后的字节码进行检测的能力；应能够检测出目前主要的代码应用安全漏洞和严重的质量缺陷，至少包括跨站脚本、未释放的资源、空指针引用、内存泄漏。安全审计安全审计应满足以下要求：应在区域边界进行安全审计，对所有用户的重要行为和重要安全事件进行审计，审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，并对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应提供覆盖到每个用户的安全审计功能，记录所有用户对安全管理平台重要操作和安全事件进行审计；应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能；应根据统一安全策略，提供集中审计接口。安全运营保障要求保障要素CIM平台安全建设运营保障要素宜包含建设实施、监测预警、应急处置和灾难恢复等内容。建设实施CIM平台安全建设者应围绕CIM平台安全目标，按照总体规划和规程，开展CIM平台安全工程实施工作，符合法律法规和标准要求，确保CIM平台信息安全工程和信息化工程同步建设，保证CIM平台信息系统和相关组件在采购、开发、组装、集成、调试、试运行以及运行过程满足安全要求，保障CIM平台安全工程建设过程操作规范、可追溯，所提供的安全服务水平可评估。CIM平台安全建设应包含以下方面：安全工程实施、供应链保障、人员安全管理及合规性管理的策略和制度；安全管理的责任部门和责任人；安全保护对象、目标、等级、定级依据以及CIM平台安全建设方案的论证、审定和报备；安全需求分析和安全措施；供应链中相关方的责任与义务；政府部门信息安全防护要求；专业的CIM平台安全建设安全支撑服务团队、安全服务机制、人员安全管理制度；安全监督、审核与风险评估；关键系统、设备、组件等的配置信息和保存记录；产品和服务的备案机制。确保采用通过国家相关部门安全审查和资质认证的产品和服务；项目实施进度和质量控制；安全工程实施的测试验收、交付以及等级测评。监测预警CIM平台安全运营者应围绕CIM平台安全目标，依据法律法规、政策文件和相关安全标准，建立CIM平台安全监测预警体系，监测CIM平台各系统运行状况，发现CIM平台信息系统的脆弱性和安全风险，收集分析CIM平台安全事件信息，对安全风险及时报告和通报，按需发布CIM平台各类安全监测预警信息。CIM平台监测预警应包含以下方面：按照《国家网络安全事件应急预案》的规定进行预警分级、监测预警、预警研判及预警响应发布与解除；网络和设备的监测监控；公共信息支撑平台等基础设施的监测监控；安全威胁信息交换系统和信息共享机制；安全漏洞和恶意代码识别、修补和防范机制；安全事件报告与通报机制；安全态势感知。应急处置CIM平台安全运营者应该按照法律法规、政策文件和标准规范的要求，制定CIM平台安全事件应急预案，对不同级别的事件，明确启动条件、处置流程、恢复流程。应部署安全保护措施，预防CIM平台安全事件的发生。当发生安全事件时，应确保及时采取应急处置措施，并向主管部门报告CIM平台重大安全事件。CIM平台应急处置应包含以下方面：安全事件应急预案及其有效性评估；应急处置机制；应急演练；安全事件教育培训；应急指挥体系。灾难恢复在CIM平台发生安全事件后，CIM平台安全运营者应根据安全事件的影响程度和业务的优先级，采取措施确保CIM平台信息系统业务流程按照规划目标恢复。CIM平台灾难恢复应包含以下方面：灾难恢复演练；针对主机故障、存储故障、操作系统故障、应用系统故障等局部系统故障的防御及快速恢复手段；业务信息、重要系统和数据资源的容灾备份；数据严重毁损的防御及快速恢复手段；灾难恢复策略和流程，包括快速协同处理，降低或控制各类信息安全事件的影响，及时恢复CIM平台各信息系统正常的运转状态等。安全基础支撑要求一般要求安全基础支撑要素CIM平台安全基础支撑宜包括安全技术支撑和安全服务支撑。安全技术支撑安全技术支撑宜包括用户身份鉴别、密码管理、自主访问控制。安全服务支撑安全服务支撑宜包括风险评估和安全检测。用户身份鉴别用户类别用户身份鉴别应包括对一般用户和系统用户的身份进行标识和鉴别。鉴别要求用户身份鉴别应包含以下要求：需进入应用软件系统的全部用户，应先进行标识（建立注册账号）；应用软件系统的用户应以用户名和用户标识符（UID）等信息进行标识，并在应用软件系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID等之的一致性；采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别机制进行用户身份鉴别，并在每次用户登录系统时进行鉴别；鉴别信息应是不可见，具有相应的抗攻击能力，并在存储和传输时进行安全保护；通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时所应采取的具有规范性和安全性的措施来实现鉴别失败的处理；将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务要求者用户。密码控制密码控制一般要求密码控制应实现保密性、完整性/真实性、抗抵赖性、可鉴别性。控制方法密码控制的管理方法应包含以下要求：应基于风险评估来识别需要的保护级别，同时考虑需要的加密算法的类型、强度和质量；对通过移动介质、可拆卸的介质设备或通信线路来传输的信息应使用加密保护；应制定密钥管理办法，包括密钥保护方法，以及在密钥丢失、损害或毁坏后加密信息的恢复方法；应明确部门（岗位）职责分工，以及为确保有效实现而采用的标准；当实现组织的密码策略时，应符合我国应用密码技术的规定和限制，以及加密信息跨越国界时的问题。自主访问控制控制类别自主访问包含控制功能和控制策略，即命名用户应以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问。控制策略当有多个自主访问控制功能时，其访问控制策略应具有一致性。自主控制要求应提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能，并应包含以下要求：客体创建者有权以各种操作方式访问自身所创建的客体；客体创建者有权对其他用户进行“访问授权”，使其可对客体拥有者创建的指定客体能按授权的操作方式进行访问；客体创建者有权对其他用户进行“授权传播”，使其可以获得将该拥有者的指定客体的访问权限授予其他用户的权限；客体创建者有权收回其所授予其他用户的“访问授权”和“授权传播”；未经授权的用户不得以任何操作方式访问客体；授权用户不得以未授权的操作方式访问客体。控制粒度控制粒度应满足以下要求：以文件形式存储和操作的用户数据，在操作系统的支持下，应实现文件级粒度的自主访问控制；以数据库形式存储和操作的用户数据，在数据库管理系统的支持下，应实现对表级/记录、字段级粒度的自主访问控制；在应用软件系统中，应通过设置自主访问控制的安全机制，实现文件级粒度的自主访问控制。用户数据完整性保护对用户数据应满足以下要求：对应用软件系统中通过网络传输的用户公开数据，应进行完整性检测，并及时发现其完整性被破坏的情况；对在应用软件系统中存储的用户一般数据，应进行完整性检测，并在数据被使用前发现其完整性破坏的情况；对应用软件系统中通过网络传输的用户一般数据，应进行完整性检测，并发现其完整性被破坏的情况；对应用软件系统中进行处理的用户一般数据，应通过操作序列的回退等措施实现完整保护。风险评估整体要求风险评估应贯穿于信息系统生命周期的各阶段中，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。在规划设计阶段，应通过风险评估以确定系统的安全目标；在建设验收阶段，应通过风险评估确定系统的安全目标达成与否；在运行维护阶段，应实施动态风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。宜采用风险评估工具开展风险评估活动。规划阶段风险评估规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标，评估结果应体现在信息系统整体规划或项目建议书中，应包含以下方面：是否依据相关规则，建立了与业务战略相一致的信息系统安全规划，并得到最高管理者的认可；系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级；系统规划中是否考虑信息系统的数据及系统连续运行的威胁、环境，并制定总体的安全方针；是否提供断网可用功能；系统规划中是否描述信息系统预期使用的信息，包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等；系统规划中是否描述所有与信息系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全策略、习惯、专门技术和知识等。设计阶段风险评估设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，并应作为采购过程风险控制的依据。本阶段评估中，应详细评估设计方案中对系统面临威胁的描述，将使用的具体设备、软件等资产及其安全功能需求列表，评估结果应体现在信息系统需求分析报告或建设实施方案中，包含以下方面：设计方案应符合系统建设规划，并得到最高管理者的认可；设计方案应对系统建设后面临的威胁进行了分析，重点分析来自物理环境和自然的威胁，以及由于内、外部入侵等造成的威胁；设计方案中的安全需求应符合规划阶段的安全目标，并基于威胁的分析，制定信息系统的总体安全策略；设计方案应采取了一定的手段来应对系统可能的故障；设计方案应对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估，包括设计过程中的管理脆弱性和技术平台固有的脆弱性。设计方案应考虑可能随着其他系统接入而产生的风险；系统性能应满足用户需求，并考虑到峰值的影响，是否在技术上考虑了满足系统性能要求的方法；应用系统（含数据库）应根据业务需要进行了安全设计；设计方案应根据开发的规模、时间及系统的特点选择开发方法，并根据设计开发计划及用户需求，对系统涉及的软件、硬件与网络进行分析和选型；设计阶段的评估可采用安全建设方案评审的方式判定方案所提供的安全功能与信息技术安全技术标准的符合性。在安全需求变更和设计变更后，应重新进行评估。实施阶段风险评估应根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证，在实施及验收时应进行质量控制，并基于设计阶段的资产列表、安全措施，对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，进而确定安全措施能否抵御现有威胁、脆弱性的影响。本阶段风险评估可采取对照实施方案和标准要求的方式，主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估，并应满足以下要求：应满足法律法规、政策、标准规范等；应满足信息系统的功能需要；应根据信息系统的资产、威胁和脆弱性的分析结果，确定在符合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施。应明确系统建设后应进行怎样的测试和检查。应进行资产面临的威胁和脆弱性分析；系统的安全功能进行应满足验收测试要求，安全措施应能够抵御安全威胁；评估应建立与整体安全策略一致的组织管理制度；系统风险控制效果应满足预期要求。运行阶段风险评估运行维护阶段风险评估应包含以下方面：在真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等；应全面地分析威胁的可能性和影响程度，对非故意威胁导致安全事件的评估可以参照安全事件的发生频率，对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断；应是全面的脆弱性评估，可以采取核查、扫描、案例验证、渗透性测试的方式实施，安全保障设备的脆弱性评估应考虑安全功能的实现情况和安全保障设备本身的脆弱性，管理脆弱性评估可采取文档、记录核查等方式进行验证；对重要资产的风险宜进行定性或定量的风险分析，描述不同资产的风险高低状况。运行维护阶段的风险评估应定期执行；当组织的业务流程、系统状况发生重大变更时，也应进行风险评估。重大变更包括：增加新的应用或应用发生较大变更；网络结构和连接状况发生较大变更；技术平台大规模的更新；系统扩容或改造；发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件；组织结构发生重大变动对系统产生了影响。废弃阶段风险评估废弃阶段风险评估应包含以下方面：应确保硬件和软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换；若被废弃的系统是某个系统的一部分，或与其他系统存在物理或逻辑上的连接，还应考虑系统废弃后与其他系统的连接是否被关闭；若在系统变更中废弃，除对废弃部分外，还应对变更的部分进行评估，以确定是否会增加风险或引入新的风险；是否建立了流程，应确保更新过程在一个安全、系统化的状态下完成。安全检测网络安全检查网络安全检查应包含以下方面：网络安全脆弱性是指网络通信设备及网络安全设备、网络通信线路、网络通信服务在安全方面存在的脆弱性，包括：非法使用网络资源、非法访问或控制网络通信设备及网络安全设备、非法占用网络通信信道、网络通信服务带宽和质量不能保证、网络线路泄密、传播非法信息等。核查网络安全所采取的安全措施及其有效性，包括：网络拓扑图、VLAN划分、网络访问控制、网络设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范等。网络安全脆弱性核查应该进行结构、功能、安全功能分析和性能分析；可采取白盒测试、黑盒测试、灰盒测试等方法。网络安全脆弱性核查方法包括：查看网络拓扑图、网络安全设备的安全策略，配置等相关文档，询问相关人员，查看网络设备的硬件配置情况，手工或自动查看或检测网络设备的软件安装和配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，检查分析网络和安全设备日志记录，利用工具探测网络拓扑结构，扫描网络安全设备存在的漏洞，探测网络非法接入或外联情况，测试网络流量、网络设备负荷承载能力以及网络带宽，手工或自动查看和检测安全措施的使用情况并验证其有效性等。主机安全检查主机安全检查应包含以下方面：主机系统安全脆弱性是指主机硬件设备、操作系统、数据库系统以及其他相关软件在安全方面存在的脆弱性，包括：非法访问或控制操作系统、数据库系统以及其他相关软件系统，非法占用网络或系统资源等；核查主机系统所采取的安全措施及其有效性，包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等；主机系统安全脆弱性核查应该进行结构、功能、安全功能和性能分析；可采取白盒测试、黑盒测试、灰盒测试等方法；主机系统安全脆弱性核查方法包括：手工或自动查看或检测主机硬件设备的配置情况以及软件系统的安装配置情况，查看软件系统的自启动和运行情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据（如鉴别信息、上网痕迹），检查并分析软件系统日志记录，利用工具扫描主机系统存在的漏洞，测试主机系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等。应用安全检查应用安全检查应包含以下方面：应用系统安全脆弱性是指应用系统在安全方面存在的脆弱性，包括；非法访问或控制业务应用系统，非法占用业务应用系统资源等；核查应用系统所采取的安全措施及其有效性，包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等；应用系统安全脆弱性核查应进行结构、功能、安全功能和性能分析；应用系统安全脆弱性核查可采取白盒测试、黑盒测试、灰盒测试等方法；软件安全技术要求可参见附录B。数据安全检查数据安全检查应包含以下方面：数据安全脆弱性是指数据存储和传播在安全方面存在的脆弱性，包括：数据泄露、数据篡改和破坏、数据不可用等。核查数据安全所采取的安全措施及其有效性，包括：数据完整性保护措施、数据保密性保护措施、备份和恢复等。数据安全核查宜采用通信协议分析、数据破解、数据完整性校验等方法。附录A

（资料性）

数据脱敏常用技术A.1泛化技术泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不可逆性，具体的技术方法包括：数据截断：直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号码1350001000截断为135；日期偏移取整：按照一定粒度对时间进行向上或向下偏移取整，可在保证时间数据一定分布特征的情况下隐藏原始时间，例如将时间2015010101：01：09按照5秒钟粒度向下取整得2015010101：01：05；规整：将数据按照大小规整到预定义的多个档位，例如将客户资产按照规模分为高、中、低三个级别，将客户资产数据用这三个级别代替。A.2抑制技术抑制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术，具体的技术方法包括：掩码：用通用字符替换原始数据中的部分信息，例如将手机号过掩码得到135****0001，掩码后的数据长度与原始数据一样。A.3扰乱技术扰乱是指通过加